如何通過唯一的 IP 地址分隔 PCAP

我有一個小時長的 PCAP 文件，其中有大約 60 次單獨的網路攻擊在我們的測試網路上進行。每次攻擊都來自一個唯一的 IP 地址，該地址在一小時內未在其他地方使用。

我想從這個文件中製作 60 個 pcap，但也包括後台流量。

攻擊發生的時間沒有真正的模式（即第一分鐘可能有 6 個，然後接下來的 10 分鐘可能有 1 個）。

我可以分離成只擷取攻擊的文件，但我真的對那裡的後台流量也很感興趣。

為了澄清我需要這個的原因，我正在使用這些數據來嘗試訓練基於機器學習的網路感測器。

假設您在名為 的文件中擁有攻擊 IP 列表，在 中具有attack-ips原始轉儲capture.pcap，並且攻擊範圍為 1.0.0.0/24，則使用以下腳本tcpdump應完成此操作：

while read ATTACKIP; do
   tcpdump -n -r capture.pcap -w "$ATTACKIP.pcap" "host $ATTACKIP or not net 1.0.0.0/24"
done < attack-ips

過濾器選擇來自或來自攻擊 IP 的流量，或者既不來自也不來自攻擊範圍的流量（以排除所有其他攻擊 IP）。

您可以使用PcapSplitter，它是PcapPlusPlus軟體包的一部分。您可以使用此工具按客戶端 IP 拆分 pcap 文件，在您的情況下，您可能會得到 60 個文件，每個文件都包含一次攻擊。請按如下方式使用該工具：

PcapSpliter.exe -f <YOUR_PCAP> -m client-ip

你沒有提到你正在使用的作業系統，但是這個工具同時支持 Win32、Linux 和 Mac）

引用自：https://serverfault.com/questions/384625